On Sun, May 28, 2017 at 10:18:05PM +0200, Maksym Tuyluk wrote:
Привет!
IMHO была очень длинная дискуссия но по делу ответа не было, поэтому:
Та вроде как было несколько рабочих вариантов :).
блокировка на уровне провайдера лучше всего получается или 1) на IP уровне или 2) в DNS. Чаще всего используют комбинацию: на IP блокируют, а при помощи DNS показывают ???что случилось???.
Технически например выглядит так: 1) в route-reflector записываем IP и маркируем через community 2) border routers добавляют маркированый route в таблицу маршрутизации с destination ???drop???/???reject???/etc 3) при запросе на указанное имя DNS servers отвечает с адресом сервера в провайдерской сети И тут наступают грабли - и от публичных DNS, и пр-др... Скорее роутить "всё" в какой-нить нат с DNS+веб-сервером.
4) сервер получает запрос и показывает страницу с содержанием ???почему заблокировали имя или URL??? Очень весело, если вспомнить что https всё "усюдее" :)
Но самое тяжелое IMHO это протокол взаимодействия между государством и провайдерами, т.е. государственный орган должен уведомлять про установку или снятие блокировки, а провайдер должен информировать, что запрос выполнен.
Самое главное - это чёткое объяснение что конкретно и каким образом должно быть заблокировано, а что - необходимо оставить (грубо говоря - мы не можем блочить урл "без ярда баксов инвестиций" и мы должны быть защищены от исков "заблочили то, что не указано" - например, не указывалась необходимость блокировки SMTP/POP3/IMAP, вроде асю задели тоже), учитывая отсутствие СОРМ-подобной фигни. Это просто верх расточительности - заставлять всех проделывать одну и ту же работу "выявить что, придумать как", и опять же незащищенность от "немного перестарались". И выглядит как-то по-идиотски - заблочить почту Яндекса, но оставить поиск и новости (в укртелеком пашет). -- Best regards, Paul Arakelyan.